【Ranger】基于Ranger+LDAP的权限策略方案

最新推荐文章于 2024-07-23 17:59:32 发布
最新推荐文章于 2024-07-23 17:59:32 发布
阅读量4.6k 收藏 21
点赞数 11
分类专栏: ranger
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsr40/article/details/116496415
版权

本文并不是解决具体某些什么问题,更相当于一个解决方案,是各个云厂商相对通用的解决方案。

当我们使用各个框架的时候,总有各种各样的权限,关系型数据库的权限可能相对比较好处理,大多数都是创建个账号,grant授权下增删改查的权限

但是到了大数据领域,如hdfs的目录和文件的权限,hive中的表,hbase中的表,presto中的表等等相关的一堆框架权限又如何控制呢?

这时候,我们需要2个东西,一个叫授权(Authorization),一个叫认证(Authentication)

 

一、授权

我们希望有一个框架,能够管理大多数框架的授权,包括:

  • hdfs的目录读写权限
  • 各种大数据框架中的表的权限,列级(字段)权限,甚至行级权限,函数权限等等相关资源的权限
  • 还有是否能帮忙做数据脱敏?

所以一个叫Ranger的框架就应运而生,这个框架结构如下:

主要有3个部分:

1、Ranger UserSync

同步unix(当前那台服务器上用户和用户组)或者LDAP中的用户和用户组的信息到ranger的用户管理中

2、Ranger Admin

提供WebUI配置权限

与Ranger Plugin进行交互,将权限同步至Ranger Plugin所在节点

你看到的User Source里写的Internal,就是你在Ranger里创建的用户,这个用户主要是用来登录Ranger的WebUI,初始状态下,该用户仅能查看Ranger Service和Policy,管理员用户admin可以在用户管理中,升级普通用户为管理员用户

3、Plugin

集成到服务中进行权限控制,每个组件的权限分开配置,像插件一样

不同组件的权限配置,还是麻烦大家自行百度或者看下Ranger的官方文档

这里单独提两个

(1)、一个是HDFS的权限策略如下图

先检查HDFS原生的权限控制,如果能通过,就不会去看Ranger中配置的任何内容

原生HDFS鉴权为拒绝时,才会通过Ranger进行权限控制

(2)、另一个是Hive的权限策略是生效于Hiveserver2的(也就是说hivecli是限制不了的)

Hive有自带的权限策略:

https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Authorization

有兴趣的同学可以好好读一读上面的连接

有四种:

  • 基于metastore的权限控制(可以控制hivecli的权限,粗粒度)
  • 基于sql语法规范的权限控制(就是grant设置权限,只能控制hiveserver2,粒度比较细,可以和上面那种结合使用)
  • 基于Ranger或者Sentry权限权限控制(也是控制hiveserver2,粒度可以到列,行,甚至数据脱敏)
  • 默认的过时的权限策略(不推荐)

具体怎么配置我就不在这里说了,大家自行百度

 

二、认证

有了上面的授权,其实还不太够,hiveserver默认是没有做用户名和密码的认证的

也就是说,就算你设置了hive用户是最高权限,但是因为没有认证,任何一个用户都可以jdbc链接hiveserver2,指定hive用户(这样授权就没有意义了)

这时候就要说一个叫LDAP的框架,具体他是啥,有太多介绍的文档,我就不在这里说了

有些文章还是写的很不错的:

https://www.cnblogs.com/wilburxu/p/9174353.html

https://www.jianshu.com/p/7e4d99f6baaf

你可以这么理解,我在LDAP里面通过目录树的方式保存了不同的用户,并且这些用户会有各自的uid,邮箱,用户组等等一系列的信息

然后最关键的一点,LDAP可以很好的集成到各种不同的框架中,这样就可以实现,一个公司里员工的基础信息都记录在LDAP中,然后公司的不同系统都对接LDAP,这样公司的员工都可以用统一的账号和密码登录公司的不同平台,甚至大数据的这些框架也可以对接LDAP,比如Hiveserver2或者Presto对接LDAP后,就有用户名密码的认证!

LDAP在制作层级的时候,可以像这样做

在people下创建user,然后在group下创建公司不同的组,然后把uid加到对应的组里面(通过LDAP脚本实现)

 

三、实现的功能

有了以上两个东西之后,我们可以实现什么功能呢?

1、公司新来一个员工,只需要在ldap上为他创建一个uid,由于公司各个框架都对接了LDAP,所以该员工可以使用一个账号密码,登录公司的各个系统

2、员工的大数据框架的权限,可以通过Ranger来控制

  • 添加权限的时候要么直接添加该用户的权限,要么添加某个组的权限

  • Ranger的Ranger UserSync默认是同步Unix的用户,可以先把Ranger UserSync改成同步LDAP里的用户和用户组信息,不过这里有个注意点:如果Ranger要集成LDAP组的权限,还需要配置hadoop group mapping,否则就是Ranger里能同步到LDAP的user的group信息,但是直接添加group,但是权限不生效

 

以上就是本文想要说的所有内容,当然这里只是提出了一个比较常见通用的解决方案,各位可以当做参考来建立自己公司的权限策略方案~

当然如果有哪里说的有误的,或者有更好的方案,欢迎大家留言评论~

菜鸡一只,努力学习~

其实很早以前就想写一篇关于Ranger的文档,但是一方面了解的不够深,另一方面感觉单纯讲Ranger的配置和使用,意义不是特别的大

有时候我们要关注的不是单个框架或者某个技术的使用,而是怎么把这些框架组合起来,完成某个业务场景或者实现某个解决方案!

 

 

 

lsr40
关注
专栏目录
Ldap集成Ranger应用服务
anguoan的博客
10-28 475
Ldap集成Ranger应用服务
Ranger用户同步于LDAP
光于前裕于后的博客
02-22 6014
LDAP[root@hdp certs]# ldapsearch -x -b "dc=wondersoft,dc=cn" 。。。 # trust admins, groups, accounts, wondersoft.cn dn: cn=trust admins,cn=groups,cn=accounts,dc=wondersoft,dc=cn cn: trust admins objectCla
Ldap+Kerberos+Ranger用户权限管理
sunxunyong的博客
07-30 1669
一、Ldap中创建 demo 用户 1、生成密码: slappasswd -h {md5} -s “oscPassw0rd” 2、编辑ldif文件,修改用户、密码和id vi create_user_demo.ldif #################################3 dn: uid=demo,ou=People,dc=asiainfo,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: sha
hadoop大数据安全管理:ldap、keberos、ranger
最新发布
qq_41358574的博客
07-23 1153
hadoop大数据中认证一般用keberos,授权用ranger,kerberos和Ldap组件共同组成整个集群的安全鉴权体系,Ldap负责用户数据存储。kerberosKerberos 是一种网络认证协议,用于在不安全的网络中以安全的方式对用户和服务进行身份验证。它通过使用密钥加密技术来防止数据被窃听或篡改,确保了认证过程的安全性。kerberos所管理的一个用户或者服务叫Principal,其格式通常如下:primary/instance@realm。
Ranger2.4+OpenLdap 用户权限管理
qq_41838722的博客
07-13 984
使用openldap做统一用户管理,使用ranger做用户权限管理。
OpenLDAP + Ranger +Kerberos 三方集成实现身份、权限认证
z_ran的博客
12-15 2044
OpenLDAP+Kerberos+Ranger集成
Ranger中的权限管理(用户,用户组,角色管理)
weixin_45076240的博客
11-18 6766
Ranger中的权限管理  Ranger可以将权限提供给用户,用户组,角色。设置界面如下: 用户管理界面同上:  如图,用户分为内部用户(Internal)和外部用户(External) 内部用户:在ranger中创建,可以登录ranger的管理界面,协助管理员设置策略。 外部用户:从其他系统同步过来的用户(通过Ranger-userSync组件),来源包括但不限于linux系统。外部用户的信息无法修改,和linux系统中的信息同步。 用户组界面: 同用户一样,用户组也分为外部用户组和内部用户组,外
Ranger+LDAP+Presto实现权限控制
pandani的专栏
10-14 2473
LDAP搭建 LDAP的搭建步骤可参考文章《Centos 7 搭建Openldap,使用lam做web管理》Centos 7 搭建Openldap,使用lam做web管理 - 简书 Presto搭建 使用的是trino中的presto-server-350版本,350往后的版本对包空间名称做了更改(io.prestosql -> io.trino),ranger2.1.0版本对其还不兼容。 presto-server-350下载地址:https://repo1.maven.org/mav.
基于LDAP配置Ranger授权之配置LDAP
m0_48187193的博客
03-26 1038
基于LDAP配置Ranger授权之配置LDAP 之前搭的测试集群都是裸机进行跑任务,开发,测试集群也随时可以拆了重装随意捣鼓嘛,现在需要给测试集群安装ranger,Kerberos等权限认证身份认证的东西往生产集群的配置靠近,由于之前的生产环境都是别人搭好没机会参与与研究,最近刚好有这个机会来安装配置,也为不久的将来去给客户搭个符合生产环境的集群。 Ranger的安装总结语言 由于是因为长达一周多看资料踩坑配置测试才正确地安装好才写这篇文章用于记录安装步骤,以供后来再次安装的时候能立刻copy解决问题,安装
openLooKeng+Ranger+LDAP 认证鉴权能力演示
openLooKeng的博客
09-08 642
openLooKeng可以对接LDAP完成认证,同时对接Ranger完成权限控制。本次演示使用的是我们的实验openLooKeng版本(开源openLooKeng的三层结构catalog-schema-table,在实验版本中扩展为catalog-vdb-schema-table4层结构),你也可以采用开源openLooKeng达到完全相同的认证和鉴权的安全能力。 总体演示步骤: LDAP上已经配置好用户tom,密码为:Huawei@123 在Ranger已经配置好用户tom的访问权限 通过openLooK
HDP 06.Ranger LDAP ⽤户权限测试
80后大叔爱学习
11-02 575
七、Ranger LDAP ⽤户权限测试 1、ipa-v01 服务器创建LDAP组,团队用户,普通用户 kinit admin Wfipaadmin123456 ipa group-add g_etl --desc groupOf_etl ipa group-add g_bigdata --desc groupOf_bigdata ipa group-add g_rec --desc groupOf_rec ipa group-add g_push --desc groupOf_push i
权限管理Ranger
yingzi的技术博客
02-22 1118
文章目录第1章Ranger概述1.1 什么是Ranger1.2Ranger的目标1.3Ranger支持的框架1.4Ranger的架构1.5Ranger的工作原理 第1章Ranger概述 1.1 什么是Ranger ​ Apache Ranger是一个Hadoop平台上的全方位数据安全管理框架,它可以为整个Hadoop生态系统提供全面的安全管理 ​ 随着企业业务的扩展,企业可能在多用户环境中运行多个工作任务,这就需要一个可以对安全策略进行集中管理,配置和监控用户访问的框架,Ranger由此产生! ​ R
OpenLDAP+Kerberos+Ranger实现用户同步
z_ran的博客
02-23 565
OpenLDAP+Kerberos+ranger实现用户同步
Ranger 配置 LDAP 账号支持 ( 基于 FreeIPA + HDP 3.0 + Ambari 2.7.0)
luoyoumou的专栏
07-31 5232
-- 参考:https://community.hortonworks.com/questions/1018/how-to-configure-ranger-usync-for-ldap-ssl.html --      https://community.hortonworks.com/articles/16696/ranger-ldap-integration.html --      htt...
初识Ranger用户权限管理
。。。。。
04-30 1427
1:什么是Ranger 提供一个可以在hadoop平台对安全策略进行集中管理、配置、访问的框架。 2:Ranger支持的框架 Hadoop Hive Hbase Kafka 3:Ranger的架构 Ranger Admin:主模版,web与权限配置功能 DB:一般用mysql作db,存放策略相关数据 WEBUI:通过操作网页,配置相关策略 RESTAPI:通过URL的方式指定资源的位置、请求方式、操作类型来配置用户策略 Solr:图形数据,数据量少 Plugins:通过插.
HDP 05.Ranger LDAP 配置
80后大叔爱学习
11-02 895
1、在Ambari控制台,点击 "Ranger" -> "CONFIGS" ->"RANGER PLUGIN",检查⼀下相关组件的权限控制是否已经开启 注意:1). "Group Search Filter"配置项主要是⼀些”LDAP组“,可以根据⾃⼰的规划灵活配置,我这⾥的组账号⼤概说明⼀下: g_etl 是⽤于数据清洗,它主要包含etl团队⽤户; g_bigdata是"⼤数据组",主要⽤于Hive分层的各种数据分析相关内容,它主要包含bigdata团队⽤...
ranger usersync同步 OpenLdap
zachz的博客
05-04 618
环境信息:CentOS 7.9 + ranger-usersync 2.4 + openldap 2.4.44没啥可讲的 …对了 还有个bug 同步时间间隔设置,我设置了10分钟 但是好像并不好用,后续再看。感觉软件本身还是有不少bug,国内的资料也很少,很难搞呀!!!
Ranger、LLAP管理SparkSQL权限配置(hiveserver2)
TBSOD的博客
05-08 3359
转载:https://zhuanlan.zhihu.com/p/35647068 概述 之前一直使用ranger管理hive的用户权限,现在系统要集成SparkSQL(thriftserver),但是在ranger下并没有SparkSQL的相关的插件,通过搜集HORTONWORKS相关资料,可以给SparkSQL配置LLAP(关于LLAP的更多细节,查看https://cwiki.apache...
Ranger配置OpenLDAP(HDP 3.1.1 + Ambari 2.7.3)
TT-Learning
11-05 1551
查看slapd服务端口
ranger用户同步于ldap
04-30
ranger用户同步于ldap是指Apache Ranger作为授权管理系统,将LDAP服务器中的用户同步到Ranger系统中,以便为这些用户分配访问和操作Hadoop集群的权限LDAP是轻量级目录访问协议,被广泛应用于企业级身份认证和权限管理。通过将Ranger系统与LDAP服务器进行集成,管理员可以轻松地将LDAP中的用户和组同步到Ranger系统中,以维护基于用户的访问控制策略。 当LDAP中添加、删除或更改用户和组时,Ranger也相应地更新Ranger中的用户和组信息。这种同步机制使得企业中的用户和组一致性得到保证,有效地提高了系统访问控制的管理效率。 值得注意的是,为了确保LDAP用户同步至Ranger系统后能够正确地使用,管理员还需要对Ranger系统进行相应的配置和授权管理,例如定义访问策略和角色等。只有在完整配置并且正确授权后,才能确保可以最大限度地发挥Ranger系统的访问控制功能。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值